Besmette advertenties gebruikten IE-lek voor 'zero-click' malware-infectie
Aanvallers hebben recentelijk besmette advertenties gebruikt om Windowsgebruikers zonder enige interactie met malware te infecteren. Daarbij werd gebruikgemaakt van een kwetsbaarheid in Internet Explorer (IE). Microsoft kwam afgelopen augustus met updates voor het beveiligingslek (CVE-2024-38178), dat al voor het uitkomen van de patches actief werd misbruikt. Dat melden antivirusbedrijf AhnLab en het Zuid-Koreaanse National Cyber Security Center (NCSC).
Internet Explorer staat uitgeschakeld in Windows, maar is nog wel in het besturingssysteem aanwezig. Applicaties kunnen ook nog altijd van Internet Explorer gebruikmaken. Daarbij hadden de aanvallers het voorzien op een specifiek advertentieprogramma dat bij allerlei gratis software wordt meegeïnstalleerd en allerlei advertenties laat zien. Dit advertentieprogramma maakt gebruik van een op IE-gebaseerde WebView voor het weergeven van advertenties.
Kwetsbaarheden in Internet Explorer zijn via een dergelijke WebView te misbruiken. De aanvallers maakten hier misbruik van door een Zuid-Koreaans advertentiebedrijf te compromitteren en zo besmette advertenties te verspreiden. Deze advertenties werden automatisch via het kwetsbare advertentieprogramma weergegeven, waarbij de malafide code in de advertenties dankzij het IE-lek automatisch werd uitgevoerd. Er was geen enkele interactie van slachtoffers vereist.
Via de besmette advertenties werd de RokRAT-malware geïnstalleerd die allerlei bestanden van het systeem steelt en terugstuurt naar de aanvallers. Ook slaat de malware toetsaanslagen op, monitort het clipboard en maakt screenshots. Volgens de Zuid-Koreaanse autoriteiten en AhnLab is de aanval het werk van een Noord-Koreaanse groep genaamd StarCruft en APT37.
Of de advertentie aanbiedende website aanklagen voor de geleden schade. Via hun platform bieden ze betaalde advertenties aan dus zijn de verantwoordelijk.
Microsoft is de derde schuldige in deze door een enorm aanvalsvlak (IE) in hun OS te behouden.
Want spionnen en saboteurs kunnen alleen vanuit hun thuisland opereren?
Er bestaat helemaal geen mogelijkheid dat deze Noord-Koreanen dat Zuid-Koreaanse bedrijf fysiek geinfiltreerd zijn.
Of ergens anders in Azie een "kantoortje"/ambassade hebben.
Next.
Als het allemaal zo simpel was, hadden we dat hele (besmette) advertentie-probleem met zijn allen al lang permanent opgelost.
Maar er zijn wereldwijd te veel cowboys (groot en klein, privaat en statelijk) die allemaal mee helpen deze markt te verzieken.
Als het echt zo simpel zou zijn:
Zullen we dan de VS ook meteen maar afsluiten van het internet. De Big tech werken er net zo hard aan mee dat we deze rotzooi voor ogen krijgen met hun anti-adblocker maatregelen. Google voorop.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.